해당 사진은 기사와 무관함/사진=게티이미지뱅크

해당 사진은 기사와 무관함/사진=게티이미지뱅크

PDF 파일을 악용한 해킹 시도가 늘고 있다. 외교·안보 분야 종사자들이 주요한 공격 대상이다. 배후로는 북한 연계 해킹 조직 ‘탈륨’이 지목되고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)는 지난 5월부터 최근까지 PDF 파일을 위장한 지능형지속위협(APT) 공격이 지속적으로 발견됐다고 3일 밝혔다. ‘평화 경제 최고경영자 과정 안내 자료’라는 메일을 보내고, 외교·안보 분야 종사자들이 관련 첨부파일을 내려받도록 꾸민 것이다.

ESRC는 첨부파일에 민감한 개인 정보를 탈취하거나 PC 원격제어 등을 시도할 수 있는 악성코드가 포함돼있다고 분석했다. 메일 수신자가 문서를 열어보는 즉시, PDF 파일 내부에 은닉된 코드가 작동되는 원리다. 이번 공격에는 감염된 PC가 사용하는 보안 프로그램을 조회하는 기능까지 포함된 것으로 밝혀졌다.
악성 PDF 문서가 실행되면 보여지는 화면 중 일부. 악성코드가 포함되어 있다. 이스트시큐리티 제공.

악성 PDF 문서가 실행되면 보여지는 화면 중 일부. 악성코드가 포함되어 있다. 이스트시큐리티 제공.

공격의 배후로 지목된 탈륨은 국내 전·현직 고위 정부 인사들을 상대로 꾸준히 해킹 공격을 벌여온 곳이다. 지난 5월 한미 정상회담 기간에는 대북 전문가들을 대상으로 DOC 문서를 악용하는 방식의 해킹을 시도하기도 했다. 이런 형태는 탈륨의 대표적인 ATP 공격인 ‘페이크 스트라이커’의 대표 사례다. 사용자들이 자주 사용하는 문서를 배포하고 악용하는 해킹 방식이다.

문종현 이스트시큐리티 ESRC센터장 이사는 “탈륨 조직의 APT 공격이 국내 유력인사와 대북 연구 분야 고위 관계자를 집중적으로 노리고 있다”며 “기존에 유행했던 DOC 악성 문서 형태와 더불어, PDF 파일을 이메일로 전달받을 경우 세심한 주의가 요구된다”고 말했다.

이시은 기자

ⓒ 한경닷컴, 무단전재 및 재배포 금지